‘Ondermaatse berichtgeving over cyberrisico’s in jaarverslagen beursgenoteerde bedrijven’
Ruim 80% van de bedrijven maakt weliswaar melding van cyberrisico’s, maar slechts 20% gaat uitgebreid in op dreigingen waarmee zij geconfronteerd worden, op de maatregelen die getroffen zijn en de risico’s waaraan de onderneming blootstaat. Bovendien beschouwt iets minder dan de helft van de ondernemingen deze dreiging als een verantwoordelijkheid van het bestuur.
De diepgang waarmee de bedrijven over dit soort risico’s rapporteren wordt bovendien steeds kleiner. Twee jaar geleden maakte bijna 30% van de onderzochte bedrijven nog uitgebreid melding van de dreiging, de detectie en de aanpak van cyberaanvallen. Vergeleken met 2013 wordt het risico van cyber gerelateerde incidenten op dit moment echter wel vaker als een verantwoordelijkheid van het bestuur aangemerkt.
Versnipperde aandacht
“De ondermaatse berichtgeving over cyberrisico’s is opmerkelijk”, zegt John Hermans, partner bij KPMG IT Advisory. Hermans: “Cybersecurity wordt een steeds belangrijker thema, het aantal incidenten en de impact ervan is de afgelopen jaren steeds verder toegenomen. En hoewel het bestuur het steeds vaker tot haar verantwoordelijkheid rekent, blijft het ook in de bestuurskamer lastig om het verschijnsel op de juiste waarde te schatten. Hoewel bestuurders en commissarissen steeds beter geïnformeerd raken over het verschijnsel cybercrime, blijft het moeilijk om de juiste aanpak te kiezen en dit soort criminaliteit adequaat te bestrijden. De aanpak van cybercrime is in het algemeen erg versnipperd, waardoor er aan het eind van de streep onvoldoende aandacht is voor het uiteindelijke risico voor de organisatie.”
Vooral MidKap bedrijven blijven in gebreke
Uit het onderzoek van KPMG blijkt dat er grote verschillen zijn tussen de bedrijven die aan de AEX genoteerd zijn en ondernemingen die een notering aan de MidKap hebben. Van de AEX-bedrijven gaat ruim 30% in het jaarverslag uitgebreid in op de dreiging van cybercriminelen, bij de MidKap-ondernemingen is dit minder dan 10%. Ook de bestuursverantwoordelijkheid ligt bij AEX-bedrijven iets hoger. Hermans: “Het is zorgwekkend dat bijna 30% van de onderzochte Midkap-bedrijven geen enkele aandacht aan cybercrime besteedt. Bij de AEX-bedrijven is dit slechts 8%. We zien wel dat nieuwkomers aan zowel de AEX als de MidKap meer oog hebben voor cyberrisico’s dan bedrijven die al langer aan deze beurzen genoteerd staan. Van de nieuwkomers besteedt 30% uitvoerig onderzoek aan de risico’s, bij bedrijven die al langer genoteerd zijn is dit 20%. En ook de verantwoordelijkheid van het bestuur is van een andere dimensie. Bij 70% van de nieuwkomers neemt het bestuur verantwoordelijkheid voor cyber, bij de gevestigde bedrijven is dit 40%.”
Meest onvoorspelbare risico
Cybercrime is volgens Hermans op dit moment het meest onvoorspelbare risico waarmee bedrijven geconfronteerd worden en kan ook de grootste schade aan bedrijven toebrengen. Hermans: “Bedrijven zijn voor hun bestaan en realiseren van hun groeiambities immers in toenemende mate afhankelijk van de inzet van IT. Incidenten zijn niet alleen in staat om de IT-infrastructuur aan te tasten, bedrijven zetten door onvoldoende bescherming ook hun reputatie en betrouwbaarheid op het spel. In het ergste geval betekent een aanval dat zij failliet kunnen gaan als zij cybercrime onvoldoende onder controle hebben.”